返回列表 发帖

[病毒查杀] 熊猫烧香病毒手工处理方法

此主题相关图片


一、熊猫烧香有几个变种?
到目前为止,从大体上分,目前主要有四大变种:
变种a:就是fuckjacks.exe进程,它隐藏的全路径是%system32%\fuckjacks.exe
变种b:就是spoclsv.exe进程,它隐藏的全路径是:%system32%\drivers\spoclsv.exe
变种c:对抗杀毒软件及专杀工具,杀毒公司惨遭屠戮(驱逐舰因为其超强免疫功能,所以免受其害)
变种d:最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下 载不同的后门的版本。

二、中毒症状
1,感染其他应用程序的.exe文件,并改变图标颜色,但不会感染微软操作系统自身的文件
2,删除ghost文件(.gho后缀),网吧和学校机房深受其害
3,禁用进程管理器,禁用注册表
4,拷贝自身到所有驱动器根目录,命名为setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统
5,修改注册表,加载自启动,并禁止显示隐藏文件
6,通过ipc$共享跨机传染,弱密码或空密码的文件服务器就要遭殃了
7、禁用杀毒工具运行

三、处理方法

1,结束病毒进程,如fuckjacks.exe,spoclsv.exe进程。但因为中毒后无法打开任务管理器,所以必须通过第三方进程管理器来结束进程,建议使用 http://www.xdowns.com/soft/6/99/2006/soft_28639.html
用此工具打开进程后,找到相关的进程,并将之结束。结束进程后,任务管理器和注册表就可以打开了

2,修改注册表.
以下位置为注册表十三处启动项位置,去掉可疑启动项
hkcu-software-microsoft-windowsnt-currentversion-windows-load
hklm-software-microsoft-windowsnt-currentversion-winlogon-userinit
hkcu-software-microsoft-windowscurrentversion-policies-explorer-run
hklm-software-microsoft-windowscurrentversion-policies-explorer-run
hkcu-software-microsoft-windows-currentversion-run-services-once
hklm-software-microsoft-windows-currentversion-run-services-once
hkcu-software-microsoft-windows-currentversion-run-services
hklm-software-microsoft-windows-currentversion-run-services
hkcu-software-microsoft-windows-current-version-runonce
hklm-software-microsoft-windows-current-version-runonce
hklmsoftwaremicrosoftwindowscurrentversionrunonceex
hkcu-software-microsoft-windows-currentversion-run
hklm-software-microsoft-windows-currentversion-run

修改以下位置,目的是可以显示隐藏文件,因为熊猫病毒不允许显示隐藏文件,所以我们要改回来把ckeckedvalue的值由0改为1即可。

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\\

folder\hidden\showall]
"checkedvalue"=dword:00000001

3,显示隐藏文件,我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹,去掉隐藏受保护的操作系统文件前面的钩,找到病毒文件,%system32%\fuckjacks.exe或%system32%\drivers\spoclsv.exe或%system32%\twunk32.exe并将其删除,找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都是隐藏文件,如果你没显示隐藏文件的话,那看不到)并在相关目录底下新一个同名的文件,并设置为只读,如果是ntfs分区,则去掉其他所有的ntfs权限.

4,做完以上步骤后,重启电脑,熊猫烧香病毒原本就手工处理了,但本机被感染的文件还在,在用杀毒软件全盘扫描前,千万不要执行本机的其他应用程序或.exe文件,切记,切记

四,预防方法

按以上方法处理完后,熊猫烧香病毒很有可能再来,怎么办?
1,首先给本机设一个复杂密码,如果有没特殊应用的话,可禁用本机共享,方法为禁用server服务
2,安装杀毒软件,并升级到最新,查杀全盘
3,更新全部操作系统补丁
---------------------------------------------------------------------------------------------------------------
工具名称:worm.nimaya (熊猫烧香)专用清除工具
软件版本:1.3.0.2
软件大小:370kb
应用平台:windows
更新时间:2007-01-12
发布时间:2006-11-14
免费下载:本地下载 http://www.xdowns.com/soft/8/19/2006/soft_34187.html
软件说明    “尼姆亚(worm.nimaya)”病毒:警惕程度,蠕虫病毒,通过感染文件传播,依赖系统:win 9x/nt/2000/xp。
    该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找windows格式的exe可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。
欢迎光临:逐梦论坛

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号